Comparaison de mots de passe( en base et celui saisi)

**madina** · 27/09/2011, 19h02

Bonjour,

Pour gérer la sécurité de mon application, j'ai deux formulaires , l'un pour la "création de comptes", l'autre pour la "connexion".

Quand j'enregistre un compte, j'utilise md5 pour sauvegarder le mot de pasee en base. dans le formulaire(

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="text" name="pwd" />

).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pwdbase=md5($_POST['pwd']);

Au moment de vérifier si la connexion a réussi(

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="password" name="pwdsasi" />

), je refais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pwdsaisi=md5($_POST['pwdsasi']);

et quand je compare les deux( $pwdbase=$pwdsaisi), c'est jamais égal.
et aussi quand j’affiche le $pwdsaisi , j'ai jamais le même code présent en base.

Comment faire pour retrouver le même code crypté ?

md5 n'est-il pas irréversible ?

Merci de vos solutions.

Cordialement

**Thes32** · 27/09/2011, 19h05

salut,

la comparaison c'est "==" et non "="

Donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if( $pwdbase == $pwdsaisi )
{
  //actions
}

**madina** · 28/09/2011, 12h31

Bonjour,

Ok c'est une faute de frappe mais le problème ne se situait pas là-bas.

En fait, le problème vient du fait qu' au moment de vérifier si la connexion a réussi, je dois faire à nouveau le hash du mot de passe saisi pour le comparer à la valeur du mot de passe présent en base.

Et le résultat du hash du mot de passe saisi n'est pas le même que celui présent en base alors c'est le même texte de mot de passe saisi.

Exemple : à la vérification avec type="password",
je saisi css -> j'ai sha1("css")=2f84417a9e73cead4d5c99e05daff2a534b30132".

NB : j'envoie les données par ajax.

alors qu'à la la saisie :, j'ai en enregistré à la base : 2f84417a
avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
INSERT INTO budget_admin (bogin , bpwd , bniveau )
VALUES ("'.$dlogin.'", "'.sha1($dmp).'" , "'.$dniveau.'")

$dmp est le mot de passe attribué.

Où se situe le problème selon vous ? les deux codes hashés sont pas les mêmes du tout

Merci de vos solutions

Cordialement.

**Thes32** · 28/09/2011, 12h51

Salut,

tu dois utiliser une méthode de chiffrement pour l"insertion à la base et durant la comparaison.
A priori tu utilises sha1 pour insérer et md5 pour la comparaison ce qui n'est pas très logique.

**madina** · 28/09/2011, 13h24

Bonjour,

là actuellement j'utilise sha1 pour l'insertion et pour la comparaison.

ça devrait marcher car j'utilise la même fonction de cryptage mais c'est pas le cas ????

Merci des solutions.

**tatareau** · 29/09/2011, 09h14

Quel est exactement ton code?
Attention sha1 a pour second paramètre raw_output qui est par défaut à false et sha1 donne 40 caractères, sinon 20.

**laurentSc** · 29/09/2011, 10h48

Ton problème vient peut-être de la longueur du champ "bpwd" dans ta bdd ; si tu fais un echo de sha1($dmp), c'est déjà tronqué ?

**madina** · 29/09/2011, 12h23

Bonjour,

Tout à fait c’était ma déclaration du champ mot de passe en base de données.
Je l'avais mis varchar(10) et c'etait tronqué lors de l'insertion , du coup la comparaison était toujours fausse.

maintenant que je l'ai mis mis varchar(50) ça trouve le bon mot de passe.

Voila le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php
$requete = mysql_query('SELECT mpwd FROM budget_admin WHERE login = "'.$_POST['login']);
$data = mysql_fetch_assoc($requete);
 
if($data['mpwd'] == sha1($_POST['password']) //membre connecté
else //mot de passe incorrect

J’espère que c'est fiable ?